Skip to content

CYBERQUEST Smart Objects

Descriere

Interfața web a CYBERQUEST include secțiunea administrativă necesară pentru o configurare vizuală a sistemului dumneavoastră de audit.

În procesul de colectare a jurnalelor, CYBERQUEST generează evenimente în anumite situații de interes pentru a îmbunătăți procesul de investigare sau pentru a citi informații din sursa nativă de jurnal. Aceste evenimente generate sunt compuse din informații provenite din unul sau mai multe fluxuri de date.

To access the page, go to Settings > Applications Settings > Smart Objects option:

Smart Objects

Cazuri de utilizare

  • Scenariul 1 - Windows Success Interactive Logon Activity

    • Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări interactive a unui utilizator pe o altă stație decât cele din istoricul de autentificare.
    • Descriere - EventID: 9150001, se generează un nou eveniment care conține detalii despre utilizator și noua stație pe care acesta s-a logat interactiv. Acesta conține, de asemenea, informații istorice despre stațiile la care acesta s-a conectat interactiv (MS Windows EventID 4624, tip de conectare 2).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsSuccessInteractiveLogonActivity.
  • Scenariul 2 - Windows Success Network Logon Activity

    • Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări în rețea în comparație cu cele istorice (conectarea la un folder partajat pe un calculator din rețea).
    • Descriere - EventID: 9150002, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care acesta s-a conectat. Acesta conține, de asemenea, informații istorice despre resursele de rețea la care s-a conectat (MS Windows EventID 4624, logon type 3). Autentificarea se poate face în cel puțin două moduri: interactiv (stația trimite cererea de autentificare către Active Directory) sau pe baza accesului la o resursă partajată din rețea.
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsSuccessNetworkLogonActivity.
  • Scenariul 3-Windows Success Batch Logon Activity

    • Scop - pentru a identifica, în mediul Microsoft Windows, o nouă logare pe loturi în comparație cu cele din istoric (de exemplu, o sarcină de planificare).
    • Descriere - EventID: 9150003, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care acesta s-a conectat. Acesta conține, de asemenea, informații istorice despre conectările anterioare în lot (MS Windows EventID 4624, logon type 4).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsSuccessSuccessBatchLogonActivity.
  • Scenariul 4 - Windows Success Service Logon Activity

    • Scop - pentru a identifica, în mediul Microsoft Windows, o nouă conectare la un serviciu în comparație cu cele istorice (de exemplu, Service startup).
    • Descriere - EventID: 9150004, se generează un nou eveniment care conține detalii despre serviciul și IP-ul din rețea care a fost logat. Acesta conține, de asemenea, informații istorice despre conectările anterioare (MS Windows EventID 4624, logon type 5).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 1 an.
    • On/Off - SmartObjects_WindowsSuccessServiceLogonActivity.
  • Scenariul 5 - Windows Success Network Cleartext Logon Activity

    • Scop - identificarea, în mediul Microsoft Windows, a unui nou tip de autentificare Cleartext față de cel istoric (în care parola este transmisă în clar. Logon cu credențiale transmise în text clar. Cel mai adesea indică o logare la IIS cu "autentificare de bază").
    • Descriere - EventID: 9150005, se generează un nou eveniment care conține detalii despre utilizator și IP-ul din rețea la care acesta s-a logat. Acesta conține, de asemenea, informații istorice despre logările anterioare (MS Windows EventID 4624, tip de logare 8).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsSuccessNetworkCleartextLogonActivity.
  • Scenariul 6 ** - Windows Success Remote Interactive Logon Activity**

    • Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări interactive de la distanță, în plus față de cele din istoric (Terminal Services, Remote Desktop sau Remote Assistance).
    • Descriere - EventID: 9150006, se generează un nou eveniment care conține detalii despre utilizatorul și IP-ul de rețea care s-a logat. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4624, tip de autentificare 10).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsSuccessRemoteInteractiveLogonActivity.
  • Scenariul 7 - Windows Success Cached Interactive Logon Activity

    • Scop - identificarea, în mediul Microsoft Windows, a unei autentificări în memoria cache după o perioadă de pauză de cel puțin 3 luni.
    • Descriere - EventID: 9150007, se generează un nou eveniment care conține detalii despre utilizatorul și IP-ul de rețea care s-a logat. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4624, tip de autentificare 11).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsSuccessCachedInteractiveLogonActivity.
  • Scenariul 8 - Windows Failed Interactive Logon Activity

    • Scop - pentru a identifica, în mediul Microsoft Windows, o autentificare interactivă eșuată pe o altă stație decât cele din istoric (cheie utilizator/parolă tastatură).

    • Descriere - EventID: 9150011, se generează un nou eveniment care conține detalii despre utilizatorul și IP-ul din rețea care s-a autentificat. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 2).

    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsFailedInteractiveLogonActivity SmartObjects_WindowsFailedInteractiveLogonActivity.
  • Scenariul 9 - Windows Failed Network Logon Activity

    • Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări eșuate în rețea față de cea istorică (conectare la un folder partajat pe un calculator din rețea).
    • Descriere - EventID: 9150012, se generează un nou eveniment care conține detalii despre utilizatorul și IP-ul din rețea care s-a autentificat. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 3).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsFailedNetworkLogonActivity - SmartObjects_WindowsFailedNetworkLogonActivity.
  • Scenariul 10 - Windows Success Service Activity Service

    • Scop - pentru a identifica, în mediul Microsoft Windows, autentificările pentru noile servicii de rețea.
    • Descriere - EventID: 9150051, se generează un nou eveniment care conține detalii despre mașina din rețea care s-a autentificat și despre noul serviciu înregistrat (MS Windows EventID 4624, logon type 5). În acest fel, se obține trasabilitatea instalării de noi servicii la nivelul organizației.
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 1 an.
    • On/Off - SmartObjects_WindowsSuccessServiceActivityService
  • Scenariul 11 - Windows Success Service Activity Service User

    • Purpose - to identify, in Microsoft Windows environment, new network logins versus those in the history, of type service run under a user.
    • Description - EventID: 9150052, a new event is generated containing details of the network machine logged on, the newly registered service/user combination (MS Windows EventID 4624, logon type 5). In this way the traceability of the installation of new services logged on by other users at the organisation level is obtained.
    • Prerequisites - Windows Security Auditing.
    • History retention of previously events - 1 year.
    • On/Off - SmartObjects_WindowsSuccessServiceActivityServiceUser
  • Scenariul 12 - Windows Success Service Activity Service Computer

    • Scop - pentru a identifica, în mediul Microsoft Windows, noile intrări în rețea față de cele din istoric, de tip serviciu rulat sub un utilizator.
    • Descriere - EventID: 9150052, se generează un nou eveniment care conține detalii despre mașina de rețea logată, combinația nou înregistrată serviciu/utilizator (MS Windows EventID 4624, tip logon 5). În acest mod se obține trasabilitatea instalării noilor servicii conectate de alți utilizatori la nivelul organizației.
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 1 an.
    • On/Off - SmartObjects_WindowsSuccessServiceActivityServiceUser.
  • Scenariul 13 - Windows Failed Service Activity Service

    • Scop - pentru a identifica, în mediul Microsoft Windows, autentificările eșuate pentru noile servicii de rețea.
    • Descriere - EventID: 9150061, se generează un nou eveniment care conține detalii despre mașina din rețea pe care a eșuat autentificarea și despre noul serviciu înregistrat (MS Windows EventID 4625, logon type 5).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 1 an.
    • On/Off - SmartObjects_WindowsFailedServiceActivityService.
  • Scenariul 14 - Windows Failed Service Activity Service User

    • Scop - pentru a identifica, în mediul Microsoft Windows, noile autentificări eșuate în rețea față de cele din istoric, de tip serviciu rulat sub un utilizator.
    • Descriere - EventID: 9150062, se generează un nou eveniment care conține detalii despre mașina din rețea care s-a logat, combinația nou înregistrată serviciu/utilizator (MS Windows EventID 4625, tip de logare 5).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 1 an.
    • On/Off - SmartObjects_WindowsFailedServiceActivityServiceUser.
  • Scenariul 15 - Windows Failed Service Activity Service Computer

    • Scop - pentru a identifica, în mediul Microsoft Windows, noile autentificări eșuate în rețea față de cele din istoric, de tipul serviciului rulat pe o mașină.
    • Descriere - EventID: 9150063, se generează un nou eveniment care conține detalii despre mașina din rețea care a fost logată, noua combinație serviciu/utilizator înregistrată (MS Windows EventID 4625, tip de logare 5).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 1 an.
    • On/Off - SmartObjects_WindowsFailedServiceActivityServiceComputer.
  • Scenariul 16 - Linux Success Logon Activity SSH

    • Scop - pentru a identifica, în mediile Linux, noile logări SSH față de cele istorice.
    • Descriere - EventID: 915010101, se generează un nou eveniment care conține detalii despre utilizator și despre mașina Linux pe care s-a efectuat logarea SSH.
    • Condiții prealabile - Redirecționarea evenimentelor.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_LinuxSuccessSshdLogonActivity.
  • Scenariul 17 - Linux Success Logon Activity Sudo

    • Scop - pentru a identifica, în mediile Linux, autentificările SUDO noi față de cele istorice.
    • Descriere - EventID: 9150102, se generează un nou eveniment care conține detalii despre utilizatorul și mașina Linux pe care SUDO s-a logat.
    • Condiții prealabile - Transmiterea evenimentelor.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_LinuxSuccessSudoLogonActivity.
  • Scenariul 18 - Linux Success Logon Activity Su Computer

    • Scop - pentru a identifica, în mediile Linux, noile logări SU față de cele istorice, organizate pe calculator.
    • Descriere - EventID: 9150103, se generează un nou eveniment care conține detalii despre utilizator și despre calculatorul Linux pe care s-a logat SU.
    • Condiții prealabile - Transmiterea evenimentelor.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_LinuxSuccessSuComputerLogonActivity - SmartObjects_LinuxSuccessSuComputerLogonActivity.
  • Scenario 19 - Linux Success Logon Activity Su SrcIP

    • Scop - pentru a identifica, în mediile Linux, noile autentificări SU față de cele istorice, organizate în funcție de IP-ul sursă.
    • Descriere - EventID: 9150104, se generează un nou eveniment care conține detalii despre utilizator și IP-ul pe care s-a logat SU.
    • Condiții prealabile - Transmiterea evenimentelor.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_LinuxSuccessSuSuSrcIPLogonActivity - SmartObjects_LinuxSuccessSuSuSuSucIPLogonActivity.
  • Scenariul 20 - Linux Failed Logon Activity SSH

    • Scop - pentru a identifica, în mediile Linux, noile logări SSH eșuate față de cele istorice.
    • Descriere - EventID: 9150151, se generează un nou eveniment care conține detalii despre utilizatorul și mașina Linux pe care a eșuat conectarea SSH.
    • Condiții prealabile - Redirecționarea evenimentelor.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_LinuxFailedSshdLogonActivity - SmartObjects_LinuxFailedSshdLogonActivity.
  • Scenariul 21 - VPN Success Logon Activity by Country

    • Scop - monitorizează dacă o nouă combinație de nume de utilizator/geolocație s-a conectat cu succes la organizația din VPN în raport cu istoricul. Avem doar pentru openVPN și FortiGate. Organizați în funcție de țara de conectare.
    • Descriere - EventID: 9150201, se generează un nou eveniment care conține detalii despre utilizator și țara din care a fost efectuată autentificarea în VPN.
    • Condiții prealabile - FortiGate și Qnap.
    • Retenția istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_VPNByCountrySuccessLogonActivity - SmartObjects_VPNByCountrySuccessLogonActivity.
  • Scenariul 22 - VPN Success Logon Activity by ClientIP

    • Scop - monitorizează dacă o nouă combinație nume de utilizator/geolocație s-a conectat cu succes la organizație pe VPN față de istoric. Avem doar pentru openVPN și FortiGate. Organizați în funcție de IP-ul de la care v-ați logat.
    • Descriere - EventID: 9150202, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de unde a fost efectuată autentificarea în VPN.
    • Condiții prealabile - FortiGate și Qnap.
    • Retenția istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_VPNByClientIPSIPSuccessLogonActivity.
  • Scenariul 23 - An object was moved from _SourceFile_ to _Destination_

    • Scop - pentru a identifica, în mediile Microsoft Windows, fișierele mutate cu locația înainte și după mutare.
    • Descriere - EventID: 580466301, se generează un nou eveniment care conține detalii despre numele și calea fișierului înainte și după mutare.
    • Condiții prealabile - Windows Object Access activat și dosar cu auditul activat (la nivel de Windows).
  • Scenariul 24 - An object was deleted

    • Scop - identificarea, în mediile Microsoft Windows, a fișierelor/obiectelor șterse cu locația și numele fișierului/obiectului.
    • Descriere - EventID: 580466302, se generează un nou eveniment care conține detalii privind numele și calea fișierului șters.
    • Condiții prealabile - Windows Object Access activat și dosar cu auditul activat (la nivel de Windows).
  • Scenariul 25 - A file was created or modified

    • Scop - identificarea, în mediile Microsoft Windows, a fișierelor nou-create sau modificate cu locația și numele fișierului.
    • Descriere - EventID: 580466303, se generează un nou eveniment care conține detalii despre numele și calea fișierului creat/modificat.
    • Condiții prealabile - Windows Object Access activat și dosar cu auditul activat (la nivel de Windows).
  • Scenariul 26 - A new folder was created

    • Scop - identificarea, în mediile Microsoft Windows, a dosarelor nou create cu locația și numele dosarului.
    • Descriere - EventID: 580466304, se generează un nou eveniment care conține detalii despre numele și calea dosarului creat.
    • Condiții prealabile - Windows Object Access activat și dosar cu auditul activat (la nivel de Windows).
  • Scenariul 27 - An object was renamed from _SourceFile_ to _DestinationFile_

    • Scop - identificarea, în mediile Microsoft Windows, a obiectelor redenumite cu locația și numele obiectului înainte și după redenumire.
    • Descriere - EventID: 580466305, se generează un nou eveniment care conține detalii despre numele și calea obiectului înainte și după redenumire.
    • Condiții prealabile - Windows Object Access activat și dosar cu auditul activat (la nivel de Windows).
  • Scenariul 28 - An object was accessed

    • Scop - identificarea, în mediile Microsoft Windows, a obiectelor accesate prin menționarea locației și a numelui obiectului.
    • Descriere - EventID: 580466306, se generează un nou eveniment care conține detalii despre numele și calea obiectului accesat.
    • Condiții prealabile - Accesul la obiecte Windows activat și dosar cu auditul activat (la nivel de Windows).
  • Scenariul 29 - Windows Failed Batch Logon Activity

    • Scop - identificarea, în mediul Microsoft Windows, a unei autentificări eșuate pe loturi în raport cu cele din istoric (de exemplu, o sarcină de planificare).
    • Descriere - EventID: 9150013, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care a eșuat logarea. Acesta conține, de asemenea, informații istorice despre autentificările pe loturi anterioare (MS Windows EventID 4625, tip de autentificare 4).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsFailedBatchLogonActivity - SmartObjects_WindowsFailedBatchLogonActivity.
  • Scenariul 30 - Windows Failed Service Logon Activity

    • Scop - pentru a identifica, în mediul Microsoft Windows, o logare eșuată a unui serviciu în comparație cu cele istorice (de exemplu, pornire a serviciului).
    • Descriere - EventID: 9150014, se generează un nou eveniment care conține detalii despre serviciul și IP-ul din rețea la care a eșuat logarea. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 5).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 1 an.
    • On/Off - SmartObjects_WindowsFailedServiceLogonActivity - SmartObjects_WindowsFailedServiceLogonActivity
  • Scenariul 31 - Windows Failed Network Cleartext Logon Activity

    • Scop - pentru a identifica, în mediul Microsoft Windows, un nou tip de autentificare eșuată Cleartext față de cea istorică (în care parola este transmisă în clar. Logon cu credențiale transmise în text clar. Cel mai adesea indică o logare la IIS cu "autentificare de bază").
    • Descriere - EventID: 9150015, se generează un nou eveniment care conține detalii despre utilizator și IP-ul din rețea la care a eșuat autentificarea. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, tip de autentificare 8).
    • Condiții prealabile - Windows Security Auditing.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsFailedNetworkCleartextLogonActivity - SmartObjects_WindowsFailedNetworkCleartextLogonActivity
  • Scenariul 32 - Windows Failed Remote Interactive Logon Activity

    • Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări interactive de la distanță eșuate, în plus față de cele din istoric (Terminal Services, Remote Desktop sau Remote Assistance).
    • Descriere - EventID: 9150016, se generează un nou eveniment care conține detalii despre utilizatorul și IP-ul de rețea la care a eșuat logarea. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, tip de autentificare 10).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsFailedRemoteInteractiveLogonActivity - SmartObjects_WindowsFailedRemoteInteractiveLogonActivity
  • Scenariul 33 - Windows Failed Cached Interactive Logon Activity

    • Scop - pentru a identifica, în mediul Microsoft Windows, o autentificare eșuată în memoria cache după o perioadă de pauză de cel puțin 3 luni.
    • Descriere - EventID: 9150017, se generează un nou eveniment care conține detalii privind utilizatorul și IP-ul de rețea pentru care a eșuat autentificarea. Acesta conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, tip de autentificare 11).
    • Condiții prealabile - Auditul de securitate Windows.
    • Păstrarea istoricului evenimentelor anterioare - 30 de zile.
    • On/Off - SmartObjects_WindowsFailedRemoteInteractiveLogonActivity - SmartObjects_WindowsFailedRemoteInteractiveLogonActivity